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Beschreibung 

Redundant aufgebautes elektronisches Gerat mit zertif izierten 
und nicht zertif izierten Kanalen 

Die vorliegende Erfindung betrifft ein zumindest zweikanalig 
aufgebautes elektronisches Gerat, insbesondere eine zweikana- 
lig aufgebaute programmierbare Logik, wobei diese program- 
mierbare Logik beispielsweise die Zentraleinheit einer spei- 
cherprogrammierbaren Steuerung sein kann. 

Fur sicherheitsrelevante Aufgaben werden elektronische Cerate 
bendtigt, die in hohem MaSe funktionssicher sind, wobei der 
Ausdruck .funktionssicher- in Anlehnung an den Ausdruck 
■.functional safety'-Ttes internaltionalen Schrif tstucks Draft- 

IEC 150 8 gewahlt wurde. 

Funktionssichere elektronische Gerate zeichnen sich dadurch 
aus, daS fur sie spezielle MaSnahmen vorgesehen sind, um Feh- 
ler' und Ausfalle zu vermeiden, zu erkennen und zu beherr- 

schen . 

Eine gebrauchliche Methode zum Vermeiden, Erkennen und Be- 
herrschen von Fehlern und Ausfallen ist die mehrkanalige, 
redundante Ausfuhrung elektronischer Gerate - in den jewxli- 
gen Kanalen werden gleiche Operationen parallel ausgef uhrt . 
Durch Vergleich der Ergebnisse bzw. Ausgangswerte wxrd er- 
kannt, ob in einem der Kanale ein Fehler aufgetreten ist. 

E^ne bestimmte Gruppe von Fehlern, die fur die Gewahrleistung 
eines f unktionssicheren Betriebs von besonderer Relevanz 
sind, sind die sogenannten systematischen Fehler einer Bau- 
g^uppe, eines Bauteils oder einer Komponente eines Kanals. 
5 Derartige Fehler k6nnen z.B. durch die logische Struktur, 
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d.h. die Verschaltung der einzelnen Komponenten und Baugrup- 
pen untereinander , oder deren physikalischen Eigenschaf ten, 
die durch den jeweils angewandten HerstellungsprozeS bedingt 
sind, begrundet sein. Die fur die vorgesehene Anwendung aus- 
5 reichende Freiheit von systematischen Fehlern wird durch um- 
fangreiche Zertif izierungsmafinahmen nachgewiesen . 

Bei der heutigen schnelien Entwicklung der Halbleitertechno- 
logie werden die Herstellungsprozesse bereits nach kurzer 

10 Zeit gewechselt. Dies hat zur Folge, dafi fur die betreffenden 
Komponenten und Baugruppen ihre Freiheit von systematischen 
Fehlern immer wieder neu nachgewiesen werden mu£, denn der 
Betrieb derartiger Komponenten und Baugruppen in einem als 
f unktionssicher eingestuften System ist nur nach umfangrei- 

15 chen Zertif izierungsmaSnahmen zul&ssig. 

Der schnelle Innovationszyklus im Bereich der Halbleiter hat 
zur Folge, da£ diese Zertif izierung z.B. mit jeder neuen Mi- 
kroprozessorgeneration oder jeder neuen Speicherbausteingene- 

20 ration neu durchgefuhrt werden muS, wobei die fur den Zerti- 
f izierungsprozeS aufgrund der fur die zu erbringenden Tests 
und/oder der fur den Nachweis der Betriebsbewahrtheit zu ver- 
anschlagenden Zeit dazu fuhrt, daS neuartige Bauteile erst 
mit erheblicher Verzogerung fur sicherheitsrelevante Anwen- 

25 dungen eingesetzt werden konnen. 

Die Aufgabe der vorliegenden Erfindung besteht folglich dar- 
in, ein elektronisches Gerat anzugeben, mit dem es moglich 
ist, in sicherheitsrelevanten Systemen mit homogen re- 
30 dundanten Kanalen Baugruppen, Bauteile oder Komponente zu be- 
treiben, fur welche die ausreichende Freiheit von systemati- 
schen Fehlern noch nicht nachgewiesen wurde . 

Die Aufgabe wird fur das elektronische Gerat dadurch gelost, 
35 daS das zumindest zweikanalig homogen redundant aufgebaute 
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elektronische Gerat, das insbesondere eine zweikanalig homo- 
gen redundant aufgebaute programmierbare Logik sein kann, zu- 
mindest einen zertif izierten Kanal und zumindest einen nicht 
zertif izierten Kanal aufweist, wobei der zertif izierte Kanal 
ein von systematischen Fehlern ausreichend freier Kanal ist. 

Als von systematischen Fehlern ausreichend freier Kanal wird 
in diesem Zusammenhang ein Kanal verstanden, dessen Versa- 
genswahrscheinlichkeit uber einen bestimmten Zeitraum eine 
bestimmte. durch die jeweilige Anwendung beeinfluSte Schwel- 
le, die z.B. eine Schwelle nach dem internationalen Schrift- 
stuck Draft-IEC 1508 sein kann, nicht uberschreitet . 

Wenn fur jeden Kanal ein abfragbares Kennzeichen, z.B. eine 
spezielle Speicherzelle oder ein mechanischer oder elektroni- 
scher Schalter vorgesehen ist, wobei beim Abfragen des Kenn- 
zeichens fur einen zertif izierten Kanal eine erste Kennung 
bzw fur einen nicht zertif izierten Kanal eine zweite Kennung 
ermittelbar ist und das elektronische Gerat seinen Betrieb 
nur dann aufnimmt, wenn bei der Abfrage der Kennung der ein- 
zelnen Kanale zumindest einmal die erste Kennung auftritt, so 
ist damit fur das elektronische Gerat ein Selbsttest reah- 
siert, der gewahrleistet, daS das elektronische Gerat seinen 
Betrieb nur dann aufnimmt, wenn sichergestellt ist, daS mm- 
destens einer der Kanale des mindestens zweikanalig aufgebau- 
ten elektronischen Cerates ein von systematischen Fehlern 
ausreichend freier. d.h. zertif izierter Kanal ist. 

Wenn die Abfrage der Kennung der einzelnen Kanale sequentiell 
erfolgt, ist eindeutig ermittelbar. welcher der Kanale ein 
von systematischen Fehlern ausreichend freier, d.h. zertifi- 
zierter Kanal ist und welcher der Kanale ein von systemati- 
schen Fehlern nicht ausreichend freier. d.h. nicht zertifi- 
zierter Kanal ist. 



35 
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Wenn die Kennung des nicht zertif izierten Kanals beim Be~rieb 
des elektronischen Gerates nach einer vorgebbaren, von er- 
kannten Fehlern freien Zeitspanne von der zweiten Kennung, 
die den Kanal als nicht zertif iziert charakterisiert , auf die 
5 erste Kennung, die den Kanal als zertif iziert charakteri- 
siert, wechselbar ist, ist nach ausreichender Betriebsdauer 
und Bewertung des Betriebsverhaltens des bisher nicht zerti- 
f izierten Kanals dieser Kanal selbst als Ref erenzkanal ein- 
setzbar, so daS mit dem elektronischen Gerat z.B. BauteiLe, 
10 Komponenten oder Baugruppen der ubernachsten Generation, die 
naturlich noch nicht zertif iziert sind, eingesetzt werden 
konnen, ohne vorher deren Fehlerf reiheit nachweisen zu mus- 
sen. 

15 Weitere Vorteile und erf inderische Einzelheiten ergeben sich 
aus der nachf olgenden Beschreibung eines Ausf uhrungsbeispiels 
anhand der Zeichnung und in Verbindung mit den Unteranspru- 
chen. Im einzelnen zeigt; 

2 0 FIG 1 ein Blockschaltbild einer zweikanalig homogen re- 
dundant aufgebauten Zentraleinheit einer speicher - 
programmierbaren Steuerung. 

GemaS FIG 1 ist das elektronische Gerat EG eine zweikanalig 
25 homogen redundant aufgebaute Zentraleinheit einer speicher- 
programmierbaren Steuerung. Homogene Redundanz bezeichnet 
hier die Tatsache, daB die einzelnen Kanale symmetrisch mit 
zumindest funktionsgleichen Bauteilen, Komponenten oder Bau- 
gruppen aufgebaut sind. 

30 

Beim Ausfuhrungsbeispiel gema£ FIG 1 weist der Kanal A einen 
Mikroprozessor P, einen Programmspeicher I und einen Daten- 
speicher R auf . Der Betrieb des Mikroprozessors P wird mit- 
tels einer Uberwachungseinheit W, eines sogenannten Watchdogs 
35 Wuberwacht. Der Kanal B ist homogen redundant zum Kanal A 
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aufgebaut, was insbesondere anhand der gleichen Komponenten 
P. I, R, die jeweils auch ndt gleichen Bezugszeichen versehen 

sind, deutlich wird. 

5 Kanal A mu£ aus den Komponenten P ( I. R. W aufgebaut sein. 
fur die die Freiheit von systematischen Fehlern ausreichend 
nachgewiesen ist, mithin die jeweiligen Komponenten, Bautexle 
und Baugruppen also zertifiziert sind. Damit at. lit s.ch Ka- 
nal A insgesamt als von systematischen Fehlern ausreichend 

10 freier Kanal A dar. 

in Kanal B werden eine oder mehrere Komponenten P/ I, R, W in 
Versionen eingesetzt, die in irgendeiner Weise verandert wur- 
den z B aufgrund eines neuen oder geanderten Fertigungspro- 
15 zesses, und fur die die Freiheit von systematischen Fehlern 
noch nicht ausreichend nachgewiesen ist. 

Werden in den betreffenden Bauteilen, Komponenten oder Bau- 
gruppen von Kanal .B eventuell vorhandene systematise^ Fehler 
20 wirksam, werden diese durch Ergebnisvergleich mit Kanal A, 

der uber die Kopplung K, die zwischen den Kanalen A und B be- 
steht, durchfuhrbar ist, erkannt und konnen somit beherrscht 
werden . 

25 Damit ist es m6glich, ohne Verschlechterung der Sicherheits- 
eigenschaften in einem Kanal A, B des redundanten elektroni-. 
schen Cerates EG Bauteile, Komponenten oder Baugruppen zu 
verwenden. deren Fehlerf reiheit noch nicht ausreichend nach- 
gewiesen ist, die mithin noch nicht zertifiziert sxnd. 

Mit Hilfe des Ergebnisvergleichs werden systematische Fehler, 
die z 3 durch die physikalischen Eigenschaf ten der D eweili- 
gen elektronischen Bauteilen, Komponenten oder Baugruppen 
oder durch einen veranderten Fertigungs- oder MontageprozeS 
35 bedingt sind, erkannt. 



30 
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Das erf indungsgema&e elektronische Gerat EG erlaubt es dem 
Anbieter eines derartigen Gerates unmittelbar auf die Innova- 
tionszyklen z.B. der Halbleiterindustrie zu reagieren ur„d 
5 auch in f unktionssicheren Systemen stets Bauteile, Komponen- 
ten oder Baugruppen anzubieten, die dem aktuellen Stand der 
Entwicklung entsprechen, auch wenn fur diese Bauteile deren 
ausreichende Freiheit von systematischen Fehlern bisher mit 
einer Zertif izierung noch nicht explizit nachgewiesen ist. 

10 

In diesem Zusammenhang muE es als besonders vorteilhaft ange- 
sehen werden, dafi mit dem erf indungsgemaSen Verfahren bzw. 
derri erf indungsgemaEen elektronischen Gerat EG diese Zertifi- 
zierung implizit zu erreichen ist. 

15 

Zu diesem Zweck ist es vorgesehen, daS fur jeden Kanal A, B 
des elektronischen Gerates EG eine Kennung verwaltet wird, 
die daruber AufschliiS gibt, ob der jeweilige Kanal A, B als 
von systematischen Fehlern ausreichend frei angesehen werden 

20 kann. Nach einer bestimmten, insbesondere vom Benutzer frei 
wahlbaren Zeitspanne, bei der im Betrieb des elektronischen 
Gerates EG im bisher nicht zertif izierten Kanal A, B kein sy- 
stematischer Fehler erkannt wurde, ist diese Kennung von 
„nicht zertif iziert" auf „ zertif iziert" umschaltbar , so daS 

25 auch der bisher explizit nicht zertif izierte Kanal, dessen 

Freiheit von systematischen Fehlern im konkreten Betrieb aus- 
reichend nachgewiesen ist, wie ein explizit zertif izierter 
Kanal eingesetzt werden kann. 

30 Dies ermoglicht es insbesondere in einem elektronischen Gerat 
EG zusmmen mit diesem nunmehr „online-zertif izierten Kanal" 
in einem weiteren, redundanten Kanal A, B auch Bauteile, Bau- 
gruppen oder Komponenten der ubernachsten Generation von 
Halbleiterbauelementen einzusetzen, und sodann entsprechend 

35 dem oben beschriebenenen Vorgang auch fur diese Komponenten 
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nach Moglichkeit deren ausreichende Freiheit von systemati- 
schen Fehlern nachzuweisen . 

Damit ermoglicht der Einsatz des erf indungsgemaSen elektroni- 
schen Cerates EG bzw. die Anwendung des erf indungsgemaSen 
Verfahrens jederzeit die Verwendung der neuesten Bauteile. 
Baugruppen oder Komponenten, die ansonsten erst nach einem 
zeitaufwendigen Zertif izierungsprozeS fur die Anwendung in 
sicherheitsrelevanten Systemen freigegeben werden. 
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Patentanspruche 

1. Zumindest zweikanalig homogen redundant aufgebautes elek- 
tronisches Gerat (EG), insbesondere zweikanalig homogen 
redundant aufgebaute programmierbare Logik, wobei das 
elektronische Gerat (EG) zumindest einen zertif izierten 
Kanal (A) und zumindest einen nicht zertif izierten Kanal 
(B) aufweist, wobei der zertif izierte Kanal (A) ein von 
systematischen Fehlern ausreichend f reier Kanal ist . 



2. Elektronisches Gerat nach Anspruch 1, dadurch 
gekennzeichnet , da£ fur jeden Kanal (A, 
B) ein abfragbares Kennzeichen vorgesehen ist, wobe:. beirn 
Abfragen des Kennzeichens fur einen zertif izierten Kanal 

15 (A) eine erste Kennung (T) bzw. fur einen nicht zertifi- 

zierten Kanal (B) eine zweite Kennung (F) ermittelbar 
ist, wobei das elektronische Gerat (EG) seinen 3etr:_eb 
nur dann aufnimmt, wenn bei der Abfrage der Kennung der 
einzelnen Kanale (A, B) zumindest einmal die erste Ken- 

20 nung (T) vorliegt. 

3. Elektronisches Gerat nach Anspruch 2, dadurch 
gekennzeichnet , daS die Abfrage der Ken- 
nung der einzelnen Kanale (A, B) sequentiell erfolgt. 

25 

4. Elektronisches Gerat nach Anspruch 2 oder 3, d a - 
durch gekennzeichnet, dafi die 
Kennung des nicht zertif izierten Kanals (B) nach einer 
vorggebbaren, von erkannten Fehlern freien Zeitspanne von 

30 der zweiten Kennung (F) auf die erste Kennung (T) wech- 

selbar ist. 

5. Verfahren zum Betreiben eines zumindest zweikanalig homo- 
gen redundant aufgebauten elektronischen Gerates (EG), 

35 insbesondere einer zweikanalig homogen redundant aufge- 
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bauten programmierbaren Logik, wobei das elektronische 
Gerat (EG) zumindest einen zertif izierten Kanal (A) und 
zumindest einen nicht zertif izierten Kanal (B) aufweist, 
wobei der zertifizierte Kanal (A) ein von systematischen 
Fehlern ausreichend freier Kanal ist. 

6 verfahren nach Anspruch 5,dadurch g e - 

k e n n z e i c h n e t , daS fur jeden Kanal (A, B) 
ein abfragbares Kennzeichen vorgesehen ist, wobei beim 
Abfragen des Kennzeichens fur einen zertif izierten Kanal 
(A) eine erste Kennung (T) bzw. fur einen nicht zertifi- 
zierten Kanal (B) eine zweite Kennung (F) ermittelt wird, 
wobei das elektronische Gerat (EG) seinen Betrieb nur 
dann aufniirant, wenn bei der Abfrage der Kennung der ein- 
zelnen Kanale (A,_B) zumindest einmal die erste Kennung 
(T) auftritt. 



7. verfahren nach Anspruch 6,dadurch ge 
k e n n z e i c h n e t , daS die Abfrage der 
der einzelnen Kanale (A, B) sequentiell erf olgt . 



Verfahren nach-Anspruch 6 oder 7, dadurch 
g e k e n n z e i c h n e t , daS die Kennung des 
nicht zertifizierten Kanals (B) nach einer vorggebbaren, 
von erkannten Fehlern freien Zeitspanne von der zweiten 
Kennung (F) auf die erste Kennung (T) gewechselt wird. 
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